Noticias de Ciberseguridad: Boletín semanal 26 de septiembre-2 de octubre

El gigante logístico CMA CGM afectado por un ciberataque

Esta semana, el grupo francés de logística CMA CGM, que opera en 160 países distintos, informaba a través de su página web y sus redes sociales de un ciberataque contra sus sistemas. Al parecer, el incidente habría afectado a varios servidores perimetrales, obligando a la entidad a interrumpir el acceso a internet de algunas de sus aplicaciones para evitar la propagación del malware dentro de su red. Como consecuencia, la entidad recomienda a sus clientes que contacten con las agencias locales del grupo para cualquier petición, reserva u otro tipo de operaciones. Pese a que el grupo no ha desvelado el tipo de malware causante del incidente, algunas comunicaciones apuntan al ransomware RagnarLocker, que habría logrado infectar varias de las oficinas de CMA CGM en territorio chino.

Más información: https://www.cmacgm-group.com/en/news-media/important-notice-external-access-to-CMA-CGM-IT-applications

Logran compilar e instalar Windows XP y Server 2003 a partir del código fuente filtrado

El 24 de septiembre, varios usuarios de 4chan y Reddit informaban de la filtración del código fuente de Windows XP, que más tarde aparecería filtrado en uno de estos foros, confirmando varios investigadores la legitimidad del mismo. Ahora, el desarrollador NTDEV ha publicado dos vídeos en YouTube y varios tweets en los que muestra cómo compilar Windows XP y Server 2003 desde el ‘Simbolo del Sistema’ de otro Windows XP, si bien el desarrollador reconoce que a diferencia del código de Windows Server 2003, en el caso de Windows XP todavía no ha podido generar una imagen ISO para compartir. Este código podría estar relacionado con la fuga del pasado 26 de julio en el que se hizo público un repositorio en GitLab que contenía el código de más de 50 compañías entre las que se encontraba Microsoft. Esta filtración podría afectar a diversas instituciones públicas o a cajeros automáticos que siguen utilizando Windows XP a pesar de que ya no cuenta con soporte. Los agentes amenaza podrían analizar este código en busca de vulnerabilidades que se podrían explotar también en versiones más actuales.

Más información: https://www.genbeta.com/windows/logran-compilar-ejecutar-windows-xp-server-2003-a-partir-codigo-fuente-filtrado-asi-proceso-video

Microsoft aclara la confusión con los parches para el fallo de Windows Zerologon

Microsoft ha aclarado los pasos que los clientes deben tomar para asegurarse de que sus dispositivos estén protegidos contra ataques usando exploits de Windows Server Zerologon (CVE-2020-1472). La compañía publicó una nueva versión de su aviso después de que los clientes encontraran confusa la guía original y no estuvieran seguros de si aplicando el parche era suficiente para proteger de los ataques a los dispositivos  Windows Server vulnerables. En un proceso paso a paso, el aviso actualizado ahora explica las acciones exactas que los administradores deben seguir para asegurarse de que sus entornos están protegidos y se eviten las interrupciones en caso de un ataque entrante diseñado para explotar servidores que de otro modo serían vulnerables a los exploits de Zerologon. Las acciones a llevar a cabo descritas por Microsoft son las siguientes:

• ACTUALIZAR los controladores de dominio con la actualización publicada el 11 de agosto de 2020 o más tarde.
• BUSCAR qué dispositivos están realizando conexiones sospchosas mediante la monitorización de los registros de eventos.
• DIRIGIRSE a los dispositivos que no cumplen con las normas y que están haciendo estas conexiones.
• HABILITAR el modo de ejecución para abordar el CVE-2020-1472 en su entorno.

Todos lo detalles: https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

Campaña de phishing aprovecha permisos de lectura de aplicaciones de terceros en O365

Proofpoint ha publicado un informe sobre una nueva técnica utilizada por el actor TA2552 desde agosto de 2019 en la que abusa del acceso a aplicaciones de terceros (3PA) de Microsoft Office 365. En concreto, se envía un correo electrónico a usuarios de España y América Latina con un mensaje que insta a los usuarios a hacer clic en un enlace y los redirige a una página de consentimiento de aplicaciones legítimas de terceros de Microsoft. En esta página, se les solicita que otorguen permisos de solo lectura a su cuenta de O365 a través de OAuth2 u otros métodos de autorización basados ​​en token. A través de esta técnica, TA2552 pretende obtener permisos para ver el contenido y la actividad de los recursos disponibles, como los contactos y el correo del usuario, a través de la cuenta O365 de un usuario. El acceso de solo lectura conlleva un riesgo considerable, ya que proporciona a los atacantes la capacidad de acceder a información valiosa que podría ser utilizada en ataques tipo BEC o apropiación de cuentas, robar datos de forma silenciosa, o para interceptar mensajes de restablecimiento de contraseña de otras cuentas, como las de instituciones financieras.

Más: https://www.proofpoint.com/us/blog/threat-insight/ta2552-uses-oauth-access-token-phishing-exploit-read-only-risks

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.